• No se han encontrado resultados

El nuevo Reglamento General de Protección de Datos: un enfoque práctico

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "El nuevo Reglamento General de Protección de Datos: un enfoque práctico"

Copied!
120
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 120 página )

Texto completo

(1)UNIVERSIDAD DE EXTREMADURA. Escuela Politécnica Máster Universitario en Dirección TIC. Trabajo Fin de Máster El nuevo Reglamento General de Protección de Datos: un enfoque práctico. Begoña Ordiales Rosado Julio, 2019.

(2)

(3) UNIVERSIDAD DE EXTREMADURA Escuela Politécnica Máster Universitario en Dirección TIC. Trabajo Fin de Máster El nuevo Reglamento General de Protección de Datos: un enfoque práctico Autora: Begoña Ordiales Rosado Tutor: Andrés Caro Lindo. Tribunal calificador Presidente: Pablo García Rodríguez Secretaria: Mar Ávila Vegas Vocal: Francisco Javier Rodríguez Pérez.

(4)

(5) Índice de contenidos RESUMEN ............................................................................................................................... 9 PALABRAS CLAVE ................................................................................................................. 9 ABSTRACT ............................................................................................................................ 10 KEYWORDS .......................................................................................................................... 10 1. INTRODUCCIÓN........................................................................................................... 11. 2. OBJETIVOS .................................................................................................................. 14. 3. ESTADO DEL ARTE ..................................................................................................... 15. 4. GUÍA DE REFERENCIA E IMPLEMENTACIÓN .......................................................... 18 4.1. DEFINICIONES ...................................................................................................... 22. 4.2. ÁMBITO DE APLICACIÓN ..................................................................................... 26. 4.3. DATOS DE CARÁCTER PERSONAL ................................................................... 29. 4.4. PRINCIPIOS DE PROTECCIÓN DE DATOS ........................................................ 33. 4.5. DERECHOS DE LAS PERSONAS ........................................................................ 35. 4.6. RESPONSABLE DEL TRATAMIENTO ................................................................. 50. 4.7. ENCARGADO DEL TRATAMIENTO ..................................................................... 54. 4.8. DELEGADO DE PROTECCIÓN DE DATOS......................................................... 55. 4.9. TRANSFERENCIAS INTERNACIONALES DE DATOS ........................................ 60. 4.10. REGISTRO DE ACTIVIDADES DE TRATAMIENTO ............................................ 62. 4.11. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO ................... 65. 4.12. ANÁLISIS DE RIESGOS ........................................................................................ 66. 4.13. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS ........ 82. 4.14. MEDIDAS DE SEGURIDAD .................................................................................. 92. 4.15. GESTIÓN Y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD..................... 97. 4.16. RÉGIMEN SANCIONADOR................................................................................. 108. 5. DISCUSIÓN ................................................................................................................. 114. 6. CONCLUSIONES ........................................................................................................ 115. REFERENCIAS BIBLIOGRÁFICAS .................................................................................... 116 ANEXO HERRAMIENTAS PARA LA IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD ........................................................................................................................ 119.

(6) Índice de tablas Tabla 1 Clasificación de la amenazas ................................................................................................... 66 Tabla 2 Medidas y tareas durante el Proceso de respuesta a violaciones de seguridad.................... 106.

(7) Índice de figuras Figura 1 Esquema relación LOPDGDD - RGPD .................................................................................... 13 Figura 2 Empresas de Extremadura por número de asalariados (Fuente: Instituto Nacional de Estadística) ........................................................................................................................................... 14 Figura 3 Evolución de la legislación de la UE en materia de protección de datos ................................ 17 Figura 4 Categorías de datos de carácter personal .............................................................................. 31 Figura 5 Principio de transparencia en el tratamiento de datos personales ........................................ 39 Figura 6 Información básica cuando los datos son obtenidos del interesado ...................................... 40 Figura 7 Información adicional cuando los datos son obtenidos del interesado ................................. 41 Figura 8 Información adicional cuando los datos no son obtenidos del interesado............................. 43 Figura 9 Derechos de las personas ....................................................................................................... 50 Figura 10 De los niveles de seguridad al principio de responsabilidad proactiva ................................ 51 Figura 11 Obligaciones de las figuras del tratamiento......................................................................... 60 Figura 12 Supuestos transferencias internacionales de datos personales ........................................... 61 Figura 13 Registro de Actividades de Tratamiento para el responsable .............................................. 64 Figura 14 Registro de Actividades de Tratamiento del encargado ...................................................... 65 Figura 15 Flujo de trabajo para el análisis de riesgos (Fuente: Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD)..................................................... 67 Figura 16 Ciclo de vida de los datos personales ................................................................................... 72 Figura 17 La tecnología en el ciclo de vida de las actividades de tratamiento .................................... 73 Figura 18 Metodología para realización EIPD (Fuente: AEPD - Guía práctica para las EIPD sujetas al RGPD) ................................................................................................................................................... 83 Figura 19 Resumen medidas seguridad LOPD ...................................................................................... 94 Figura 20 Proceso de gestión de incidentes (Fuente: Guía para la gestión y notificación de brechas de seguridad de la AEPD) ........................................................................................................................ 100 Figura 21 Fuentes detección físicas de violaciones de seguridad ....................................................... 101 Figura 22 Fuentes de detección de violaciones de ciberseguridad ..................................................... 101 Figura 23 Fases del Proceso de respuesta a violaciones de seguridad ............................................... 106.

(8)

(9) RESUMEN. RESUMEN Este trabajo de fin de máster, “El nuevo Reglamento General de Protección de Datos: un enfoque práctico”, pretende ser una guía de referencia para la implantación de la protección de datos personales en una PYME. Se trata de un trabajo de revisión teórica, en el que se ha tratado de recopilar la información publicada hasta el momento sobre la nueva legislación de protección de datos aplicable en la Unión Europea, dándole un enfoque práctico para que sea de utilidad a cualquier PYME. El trabajo se sustenta en el Reglamento General de Protección de Datos – RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos) y en la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales - LOPDGDD, relacionando los aspectos más relevantes de la normativa con actividades de tratamiento de datos personales habituales en una PYME como pueden ser la contratación de personal y la confección y pago de nóminas. La estructura seguida en el trabajo es la marcada por la legislación española, de forma que cada apartado se corresponde con un título de la Ley de Protección de Datos Personales (LOPDGDD) en el que se desarrolla el título con referencias a ejemplos e información que ayudan a entender mejor su significado, seguido, cuando sea procedente, de la implantación en el ejemplo de referencia.. PALABRAS CLAVE Protección de datos, Reglamento General de Protección de Datos, RGPD, Ley española de protección de datos. TFM. Máster. en. Dirección. TIC. P á g i n a 9 | 120.

(10) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. ABSTRACT This paper, "The new General Data Protection Regulation: a practical approach" aims to be a reference guide for the implementation of personal data protection in an SME. This is a theoretical review work, in which it has tried to collect the published information on the new data protection legislation applicable in the European Union, giving it a practical approach to be useful to any SME. The work is based on the General Data Protection Regulation - GDRP (Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27 2016 on the protection of natural persons with regard to the processing of personal data and the free movement of such data) and Organic Law 3/2018 of December 5 on the Protection of Personal Data and the Guarantee of Digital Rights, relating the most relevant aspects of the regulation with personal data processing activities common in an SME such as hiring staff and the preparation and payment of payroll. The structure of this work is marked by Spanish legislation, so that each section corresponds to a title of the Personal Data Protection Act in which the title is developed with references to examples and information that help to better understand its meaning, followed, where appropriate, by the implementation in the reference example.. KEYWORDS Protection personal data, General Data Protection Regulation, GDRP, Spanish organic law protection personal data. TFM. Máster. en. Dirección. TIC. P á g i n a 10 | 120.

(11) INTRODUCCIÓN. 1 INTRODUCCIÓN A diario facilitamos nuestros datos personales en infinidad de ocasiones, tanto en el mundo real como en el virtual: al registrarnos en una aplicación, al acudir a un centro de salud, en el banco, al hacer una reserva en un hotel, al realizar una compra online…Con la rápida evolución de la tecnología difundimos cada vez mayor información personal y a cualquier parte del mundo. Todo esto hace que las empresas y autoridades públicas utilicen gran cantidad de datos personales en el desarrollo de sus actividades. Aunque cada vez somos (o intentamos ser) más precavidos en la información que facilitamos, a quién se la facilitamos y para qué la facilitamos todavía, en muchas ocasiones, desconocemos qué se hace realmente con estos datos y empezamos a recibir llamadas y correos electrónicos de empresas sin saber cómo han conseguido nuestros datos. El objetivo general que persigue el Reglamento de Protección de Datos es garantizar un nivel equivalente de protección de los derechos y libertades de las personas físicas en todo el Espacio Económico Europeo, que permita la libre circulación de datos personales en la Unión Europea. El RGPD refuerza los derechos de los interesados, dándoles el control total sobre sus datos personales, y obliga a los responsables del tratamiento a ser totalmente transparentes con el uso que hacen de los mismos, además de tener que garantizar la seguridad antes, durante y después del tratamiento. En la actualidad, el tratamiento de la información en general, y de los datos personales en particular, se apoya en las tecnologías a lo largo de todo su ciclo de vida desde la recogida o captura de datos hasta la destrucción de los mismos pasando por el almacenamiento, el uso o tratamiento y la cesión o transferencia. Por este motivo, los profesionales de las tecnologías de la información y la comunicación desempeñamos un papel de gran importancia en la protección de datos personales. La elaboración de este proyecto se fundamenta en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,. TFM. Máster. en. Dirección. TIC. P á g i n a 11 | 120.

(12) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento General de protección de datos – RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) la cual adapta el ordenamiento jurídico español al RGPD. Este proyecto desarrolla los aspectos más relevantes de la LOPDGDD en la implantación de la protección de datos de una PYME, ampliándola y ofreciendo ejemplos con información obtenida de otras fuentes como son la Agencia Española de Protección de Datos (www.aepd.es) y el Comité Europeo de Protección de Datos (https://ec.europa.eu). En el siguiente gráfico se relacionan los diferentes títulos de la LOPDGDD con los capítulos del RGPD.. TFM. Máster. en. Dirección. TIC. P á g i n a 12 | 120.

(13) INTRODUCCIÓN. Figura 1 Esquema relación LOPDGDD - RGPD. TFM. Máster. en. Dirección. TIC. P á g i n a 13 | 120.

(14) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. 2 OBJETIVOS El objetivo general de este proyecto es ofrecer una guía práctica de referencia para la implantación de la protección de datos personales en una PYME. Para conseguir este objetivo, se ha realizado un compendio de lo publicado respecto a la protección de datos personales por organismos e instituciones, de forma que cualquier PYME tenga un punto de referencia único. La metodología usada para la consecución del objetivo marcado, es el desarrollo de los artículos de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales y del Reglamento General de Protección de Datos. El apartado de la implantación práctica de la protección de datos se desarrolla a partir de actividades generales, que conllevan el tratamiento de datos personales, llevadas a cabo de forma habitual en una PYME, tales como la gestión de recursos humanos y las relaciones con clientes y proveedores. En base a los datos publicados por el Instituto Nacional de Estadística, que reflejan que la mayoría de las empresas de Extremadura tienen un número de empleados menor de 50, la implantación práctica se llevará a cabo tomando como referencia la organización de una empresa de menos de 50 asalariados.. Figura 2 Empresas de Extremadura por número de asalariados (Fuente: Instituto Nacional de Estadística). TFM. Máster. en. Dirección. TIC. P á g i n a 14 | 120.

(15) ESTADO. DEL. ARTE. 3 ESTADO DEL ARTE El 25 de mayo de 2016, se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que es de aplicación desde el 25 de mayo de 2018. El RGPD deroga la directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos. La Directiva de 1995 se desarrolló con un doble objetivo, la protección de los derechos y libertades fundamentales de las personas, en particular, el derecho a la protección de datos, y la realización del mercado interior, es decir, la libre circulación de datos personales en la Unión Europea. A pesar de que estos objetivos siguen vigentes, la rápida evolución tecnológica y la globalización han planteado nuevos retos en la protección de datos personales. Ante este nuevo contexto, la Comisión Europea se embarcó en un examen exhaustivo de la legislación de la Unión Europea en materia de protección de datos con el objetivo de saber si era suficiente para hacer frente a estos nuevos retos. El resultado determinó que era necesario modernizar el régimen jurídico de la UE en materia de protección de datos teniendo en cuenta los retos derivados de la globalización y de las nuevas tecnologías. En noviembre de 2010, la Comisión Europea publicó una comunicación con los resultados obtenidos y los objetivos esenciales que debía alcanzar la nueva legislación 1. Los resultados obtenidos concluyeron que era necesario: •. Clarificar y precisar la aplicación de los principios de protección de datos a las nuevas tecnologías, con el fin de garantizar una protección. 1. http://ec.europa.eu/transparency/regdoc/rep/1/2010/ES/1-2010-609-ES-F1-1.Pdf TFM. Máster. en. Dirección. TIC. P á g i n a 15 | 120.

(16) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. real y efectiva de los datos personales independientemente de la tecnología utilizada para tratarlos. •. Homogeneizar la aplicación de la legislación en todos los Estados miembros.. •. Mejorar las transferencias internacionales de datos, definiendo cuál es la aplicación aplicable y la atribución de responsabilidad cuando el tratamiento se realiza fuera de la UE.. Los objetivos esenciales que debía abarcar la nueva legislación eran: •. Reforzar los derechos de las personas.. •. Garantizar la libre circulación de datos personales entre los Estados miembros en el mercado interior, evitando divergencias entre las legislaciones nacionales que transponen la normativa.. •. Clarificar y simplificar las normas aplicables a las transferencias internacionales de datos.. •. Reforzar la cooperación entre las autoridades de protección de datos de los diferentes Estados miembros.. El Reglamento General de Protección de Datos es el resultado de la adaptación del régimen jurídico de la UE al nuevo entorno de constante evolución tecnológica y la forma en la que nuestros datos personales se utilizan y comparten. La transposición de este Reglamento a la legislación española se materializó con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que entró en vigor el 6 de diciembre de 2018 y que adapta y completa el ordenamiento jurídico español al dicho Reglamento.. TFM. Máster. en. Dirección. TIC. P á g i n a 16 | 120.

(17) ESTADO. DEL. ARTE. Figura 3 Evolución de la legislación de la UE en materia de protección de datos. TFM. Máster. en. Dirección. TIC. P á g i n a 17 | 120.

(18) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. 4 GUÍA DE REFERENCIA E IMPLEMENTACIÓN Este apartado combina el desarrollo de la legislación vigente actualmente en materia de protección datos, poniendo especial interés en aquellos aspectos que tienen mayor repercusión en la parte tecnológica del tratamiento de datos, con el desarrollo de un ejemplo práctico basado en actividades de tratamiento llevadas a cabo en un modelo de pequeña empresa. El contenido del apartado sigue la estructura de la Ley Orgánica de Protección de datos y garantía de derechos digitales (LOPDGDD), completándolo con los artículos del Reglamento General de Protección de Datos (RGPD) a los que referencia. A lo largo de todo el trabajo, se intenta completar la teoría con ejemplos e información adicional que ayudan a entender el significado del artículo desarrollado.. TFM. Máster. en. Dirección. TIC. P á g i n a 18 | 120.

(19) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. EJEMPLO PRÁCTICO – CONTEXTO La protección de datos personales se aplica a tres ámbitos diferentes dentro de la organización: legal, organizativo y de seguridad.. En este documento, serán objeto de desarrollo aquellas obligaciones incluidas en el ámbito de la seguridad, ya que las tareas que deben realizarse para cumplir con ellas llevan asociado un alto componente tecnológico. • • • •. Análisis de riesgos Medidas de seguridad Evaluación de impacto Notificación de violaciones de seguridad (gestión de incidentes de seguridad). Sin embargo, no hay que pasar por alto que, otras de las obligaciones del responsable del tratamiento, pueden encontrar en la tecnología un importante apoyo para facilitar su cumplimiento y demostrarlo. Por ejemplo, obtener el consentimiento del interesado o soportar los procedimientos para el ejercicio de los derechos de los interesados.. TFM. Máster. en. Dirección. TIC. P á g i n a 19 | 120.

(20) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. La tecnología puede ayudar a garantizar la seguridad de los tratamientos con herramientas que permitan: • • • • •. Monitorizar el uso de los datos, conocer quién accede, cuándo se borran y cifrarlos cuando sea necesario. Evitar accesos no autorizados mediante sistemas de gestión de identidad y autenticación. Realizar copias de seguridad. La protección contra el malware. Proteger las comunicaciones.. Para el desarrollo de la aplicación práctica de la protección de datos se tomará como base la organización de una pequeña empresa de menos de 10 empleados cuya actividad principal no sea el tratamiento de datos personales. Las principales actividades que conllevan tratamiento de datos personales en el desarrollo de la actividad del responsable son: la gestión de recursos humanos, la gestión de clientes y la gestión de proveedores.. La primera pregunta que nos planteamos al abordar el tema de la protección de datos es ¿debo aplicar la protección de datos en mi empresa? Para responder a esta pregunta debemos formularnos otra ¿trata mi empresa datos personales de personas físicas, ya sea de clientes, proveedores o empleados? Si la respuesta es afirmativa, entonces SÍ debo aplicar la protección de datos en mi empresa.. TFM. Máster. en. Dirección. TIC. P á g i n a 20 | 120.

(21) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. En el apartado 4.3 puede consultarse qué son datos de carácter personal. El enfoque práctico de este TFM se centrará en el área tecnológica del tratamiento de datos personales en la gestión de recursos humanos. Se toma como base esta actividad por ser una de las más complejas que conllevan tratamiento de datos personales, sin entrar a valorar la actividad principal de la organización. Normalmente, las PYMES tienen subcontratada esta actividad en una gestoría. Por este motivo la infraestructura de servidores de aplicaciones que pudieran dar el servicio al software específico, queda fuera de este ejemplo de implementación de protección de datos,. TFM. Máster. en. Dirección. TIC. P á g i n a 21 | 120.

(22) El. nuevo. Reglamento. General. enfoque. 4.1. de. Protección. de. Datos:. un. práctico. DEFINICIONES. El artículo 4 del Reglamento (UE) 2016/679 define una serie de conceptos claves para la comprensión del mismo. Algunas de estas definiciones son:  Datos personales: Toda información sobre una persona física identificada o identificable (“el interesado”). (Ver apdo. 4.3 Datos de carácter personal)  Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimiento automatizados o no. El tratamiento abarca una amplia gama de operaciones realizadas sobre los datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.. EJEMPLOS DE TRATAMIENTO  Gestión de personal y administración de nóminas  Acceso o consulta a base de datos de contactos que contengan datos personales  Envío de correo electrónicos promocionales  Triturado de documentos que contengan datos personales  Publicación de una foto de una persona en un sitio web  Almacenamiento de direcciones IP o MAC  Grabación de vídeo Comisión Europea. ¿Qué constituye tratamiento de datos? (https://ec.europa.eu). TFM. Máster. en. Dirección. TIC. P á g i n a 22 | 120.

(23) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN.  Seudonimización: Es el tratamiento de datos personales de manera que no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté protegida de manera que garantice que los datos personales no se atribuyan. a. una. persona. física. identificada. o. identificable.. La seudonimización reduce la vinculabilidad de un conjunto de datos con la identidad del interesado; se trata, por tanto, de una medida de seguridad útil, pero no es un método de anonimización.. TÉCNICAS DE SEUDONIMIZACIÓN*  Cifrado con clave secreta. El poseedor de la clave podrá descifrar el conjunto de datos.  Función hash: Se trata de una función que devuelve un resultado de tamaño fijo a partir de un valor de entrada de cualquier tamaño. Esta función no es reversible, sin embargo, si se conoce el rango de valores de la función hash (por ejemplo, el DNI) se pueden pasar estos valores por la función a fin de obtener el valor real de un registro determinado. Las funciones hash están sujetas a ataques de fuerza bruta (probar todas las posibles entradas para crear tablas de equivalencia).  Función con clave almacenada: Se trata de un tipo de función hash que hace uso de una clave secreta a modo de valor de entrada suplementario. El responsable del tratamiento puede reproducir la ejecución de la función con el atributo y la clave secreta. Sin embargo, los atacantes, que no conocen la clave, lo tendrían mucho más difícil ya que el número de combinaciones que habría que probar sería demasiado grande.  Cifrado determinista o función hash con clave con borrado de clave: Esta técnica equivale a generar un número aleatorio a modo de dó i. TFM. Máster. en. d. Dirección. TIC. t ib t. d. l. b. d. d t. P á g i n a 23 | 120.

(24) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico.  Descomposición en tokens: Esta técnica se usa típicamente en el sector financiero (aunque no exclusivamente en él) para reemplazar los números de identificación de tarjetas por valores que son de poca utilidad para los atacantes. Se basa en la aplicación de mecanismos de cifrado unidireccionales o en la asignación, mediante función de índice, de un número de secuencia o un número generado aleatoriamente que no derive matemáticamente de los datos originales. GT29. Dictamen 05/2014 sobre técnicas de anonimización..  Fichero: Todo conjunto de datos estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.  Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. (Ver apdo. 4.6 Responsable del tratamiento).  Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable. (Ver apdo. 4.7 Encargado del tratamiento).. Un encargado del tratamiento puede ser la gestoría a la que el responsable del tratamiento le encarga la elaboración de las nóminas de sus empleados, o la empresa de informática a la que le contrata el servicio de correo electrónico.  Destinatario: persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros.. TFM. Máster. en. Dirección. TIC. P á g i n a 24 | 120.

(25) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. En la confección de contratos laborales, el Servicio Público de Empleo Estatal (SEPE) es un destinatario de los datos personales..  Tercero: persona física o jurídica, autoridad pública, servicio u otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar datos personales bajo la autoridad directa del responsable o del encargado.. Si cedemos los datos personales de nuestros clientes a otra empresa para que haga publicidad de sus productos, esta empresa será un tercero. Debemos tener el consentimiento del interesado a esta cesión de datos personales.  Consentimiento del interesado: Es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.. CONDICIONES PARA CONSENTIMIENTO VÁLIDO  Debe obtenerse antes de que el responsable comience a tratar datos personales para los que requiere el consentimiento.  Cuando el servicio conlleve múltiples operaciones de tratamiento de datos para más de un fin, el proceso o procedimiento para obtener el consentimiento debe permitir a los interesados autorizar por separado las distintas operaciones.  Ha de ser informado, es decir, el responsable del tratamiento debe facilitar información a los interesados antes de obtener su consentimiento para que puedan tomar decisiones informadas, comprender qué es lo que están autorizando y poder ejercer sus derechos.. TFM. Máster. en. Dirección. TIC. P á g i n a 25 | 120.

(26) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico.  Al solicitar el consentimiento, los responsables del tratamiento deben utilizar un lenguaje claro y sencillo, comprensible por el ciudadano medio y valorando el tipo de público que proporciona datos a su organización..  Violación de la seguridad de los datos personales: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Es decir, todo incidente que dé lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos  Elaboración de perfiles: Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. 4.2. ÁMBITO DE APLICACIÓN. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales se aplica: •. A cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Según el considerando 15 del RGPD, la protección de datos personales debe ser independiente de la tecnología utilizada para su tratamiento, y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados.. TFM. Máster. en. Dirección. TIC. P á g i n a 26 | 120.

(27) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. TIPOS DE FICHEROS:  No automatizados. Son conjuntos de datos personales organizados de forma no automática y estructurados conforme a criterios específicos (como orden alfabético) relativos a personas físicas. Por ejemplo: listado en papel de clientes, formularios de datos…  Automatizados. Son conjuntos de datos personales organizados de forma automática y gestionados mediante programas, soportes y equipos informáticos. Por ejemplo: Base de datos de empleados, clientes, directorio corporativo publicado en la intranet… •. A toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados se consideran información sobre una persona física identificable.. •. Al tratamiento de datos personales en el contexto de las actividades llevadas a cabo por un responsable o encargado del tratamiento de la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no.. •. Al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades estén relacionadas con:  la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se quiere su pago.  el control de su comportamiento, en la medida en que este tenga lugar en la Unión.. No es de aplicación: •. Al tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de persona jurídica y sus datos de contacto.. TFM. Máster. en. Dirección. TIC. P á g i n a 27 | 120.

(28) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. No es de aplicación al tratamiento de datos de empresas u organismos públicos, como la Seguridad Social, las Universidades… Ni a los datos de empresas privadas, asociaciones… •. Al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, actividades relativas a la seguridad nacional.. •. Al tratamiento de datos de carácter personal por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.. Una agenda con teléfonos, mail, direcciones… de nuestros familiares y amigos utilizados para actividades personales o domésticas. Si los datos fueran utilizados para, por ejemplo, publicitar su negocio debería cumplir la normativa en protección de datos. •. A los datos personales de personas fallecidas. En este caso, la LOPDGDD establece que las personas vinculadas a la persona fallecida podrán solicitar el acceso a los datos personales de ésta y, en su caso, su rectificación o supresión.. TFM. Máster. en. Dirección. TIC. P á g i n a 28 | 120.

(29) GUÍA. 4.3. DE. REFERENCIA. E. IMPLEMENTACIÓN. DATOS DE CARÁCTER PERSONAL. Según el artículo 4.1 del RGPD son datos personales “toda información sobre una persona física identificada o identificable”.. EJEMPLOS DE DATOS PERSONALES:  Nombre y apellidos  Dirección  Dirección de correo electrónico del tipo [email protected]  Número de documento nacional de identidad  Datos de localización EJEMPLOS DE DATOS NO CONSIDERADOS PERSONALES:  Número de registro mercantil  Dirección de correo electrónico del tipo [email protected]  Datos anonimizados Comisión Europea. https://ec.europa.eu/info/law/law-topic/data-protection/reform. La identificación de una persona, a efectos de protección de datos, se realiza cuando puede determinarse la identidad directa o indirectamente a través de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona o mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea. La normativa contempla dos categorías de datos, por una parte, tenemos los datos sensibles y por otros los no sensibles. Todos los datos que no son considerados datos sensibles o “categorías especiales de datos”, se consideran como datos no sensibles. Dentro de la categoría de datos no sensibles tenemos, entre otros: •. Datos identificativos: nombre, apellidos, número de documentos nacional de identidad. TFM. Máster. en. Dirección. TIC. P á g i n a 29 | 120.

(30) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. •. Datos referidos a la situación laboral. •. Datos relativos a la situación financiera. En las categorías especiales de datos el RGPD incluye los siguientes datos: •. Datos personales relativos a la salud, datos que dan información relativa al estado de salud física o mental pasado, presente o futuro del interesado. Se incluye:  Información recogida al inscribirse a efectos de asistencia sanitaria o con la prestación de tal asistencia.  Todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios.  La información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal y cualquier información relativa a una enfermedad, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente.. •. Datos que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical.. •. Datos genéticos, estos son los datos personales relacionados con características genéticas, heredadas o adquiridas, provenientes del análisis de una muestra biológica (examen cromosómico, análisis de ADN o ARN).. •. Datos biométricos, datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales que permiten la identificación única de una persona (imágenes faciales, datos dactiloscópicos…). •. Datos relativos a la vida sexual u orientación sexual.. Como regla general los datos de las categorías especiales no pueden ser tratados, salvo cuando concurra una la de las siguientes circunstancias (Art. 9 LOPDGDD y Art.9 RGPD): 1. El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más fines específicos. TFM. Máster. en. Dirección. TIC. P á g i n a 30 | 120.

(31) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. 2. El tratamiento es necesario para proteger intereses vitales del interesado, cuando no esté capacitado, física o jurídicamente, para dar su consentimiento. 3. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social. 4. El tratamiento lo realiza, legítimamente y con las debidas garantías, una fundación, asociación u otro organismo sin ánimo de lucro con finalidad política, religiosa, filosófica o sindical y únicamente se refiera a los miembros actuales o antiguos de dichas organizaciones. 5. El tratamiento se refiere a datos que el interesado ha hecho públicos. 6. El tratamiento es realizado por un profesional sujeto a la obligación del secreto profesional. 7. El tratamiento es necesario para procedimientos judiciales. 8. El tratamiento es necesario por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria. 9. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia sanitaria o social. 10. El tratamiento es necesario para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. DATOS NO SENSIBLES •Datos identificativos •Datos de situación laboral •Datos de situación financiera. CATEGORÍAS ESPECIALES DE DATOS •Relativos a la salud o la vida sexual y/o la orientación sexual •Origen racial o étnico •Opiniones políticas •Convicciones religiosas o fisiológicas •Afiliación sindical •Datos genéticos •Datos biométricos Figura 4 Categorías de datos de carácter personal. TFM. Máster. en. Dirección. TIC. P á g i n a 31 | 120.

(32) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. EJEMPLO PRÁCTICO – DATOS DE CARÁCTER PERSONAL El primer paso es identificar los datos personales que son objeto de tratamiento en la organización y distinguir cuáles pertenecen a la categoría de datos sensibles. Para ello identificaremos los colectivos de los que tratamos datos y analizaremos los datos de cada uno de ellos: •. EMPLEADOS:  Nombre y apellidos  NASS  DNI  Dirección  Correo electrónico  Teléfono de contacto  Nivel de estudios. •. CLIENTES  Nombre y apellidos. •. PROVEEDORES  Nombre y apellidos  Nº cuenta bancaria para el pago. En el caso de los colectivos de clientes y proveedores, debemos tener en cuenta que no se consideran datos personales los datos referidos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de persona jurídica y sus datos de contacto.. TFM. Máster. en. Dirección. TIC. P á g i n a 32 | 120.

(33) GUÍA. 4.4. DE. REFERENCIA. E. IMPLEMENTACIÓN. PRINCIPIOS DE PROTECCIÓN DE DATOS. Los tratamientos de datos de carácter personal están sujetos a unos principios que determinan cómo recoger y tratar los datos (Art 5 RGPD). 4.4.1 LICITUD, LEALTAD Y TRANSPARENCIA Los datos personales serán tratados de forma lícita, leal y transparente. El tratamiento de los datos debe estar amparado en alguna de las siguientes bases jurídicas: 1. Consentimiento del interesado. 2. Relación contractual. 3. Intereses vitales del interesado o de otras personas. 4. Obligación legal para el responsable. 5. Interés público o ejercicio de poderes públicos. 6. Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos El responsable debe informar, previamente al tratamiento de los datos, sobre el objeto y fines del tratamiento, sus consecuencias y posibles riesgos (Ver apdo. 4.5.1 Transparencia). 4.4.2 LIMITACIÓN DE LA FINALIDAD Los datos personales serán recogidos para unos fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines. 4.4.3 PRINCIPIO DE MINIMIZACIÓN DE DATOS Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. 4.4.4 PRINCIPIO DE EXACTITUD Los datos personales serán exactos y si fuera necesario actualizados, adoptándose medidas razonables para que se supriman o rectifiquen sin delación los datos personales que sean inexactos a los fines para los que se tratan.. TFM. Máster. en. Dirección. TIC. P á g i n a 33 | 120.

(34) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. 4.4.5 PRINCIPIO DEL PLAZO DE CONSERVACIÓN Los datos personales serán mantenidos de forma que se permita la identificación de los interesados por un plazo de tiempo no superior al necesario para cumplir con los fines del tratamiento. 4.4.6. PRINCIPIO DE INTEGRIDAD Y CONFIDENCIALIDAD. Los datos personales serán tratados de manera que se garantice su adecuada seguridad, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, aplicando las medidas técnicas y de organización apropiadas. 4.4.7 PRINCIPIO DE RESPONSABILIDAD PROACTIVA Los responsables y encargados de tratamiento deben cumplir los principios mencionados anteriormente y ser capaces de demostrar dicho cumplimiento. El RGPD establece un catálogo de medidas que deben aplicar, tanto los responsables como los encargados, para garantizar que los tratamientos de datos personales se realizar conforme a la normativa. •. Análisis de riesgos (Ver apdo. 4.12). •. Registro de actividades de tratamiento (Ver apdo. 4.10). •. Protección de datos desde el diseño y por defecto (Ver apdo. 4.11). •. Medidas de seguridad (Ver apdo. 4.14). •. Notificación de violaciones de seguridad (Ver apdo. 4.15). •. Evaluación de impacto (Ver apdo. 4.13). •. Delegado de protección de datos (Ver apdo. 4.8). TFM. Máster. en. Dirección. TIC. P á g i n a 34 | 120.

(35) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. DERECHOS DE LAS PERSONAS 2. 4.5. El Título III de la LOPDGDD regula el derecho de los usuarios a ser informados acerca del tratamiento de sus datos personales, así como los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. 4.5.1 TRANSPARENCIA El RGPD y, por extensión, la LOPDGDD obliga a los responsables y encargados del tratamiento a informar a los interesados en todo momento qué datos se están tratando, con qué finalidad, cómo reclamar al responsable y/o encargado, así como dar a los interesado un control total sobre sus datos. Esta transparencia debe aplicarse a tres ámbitos: 1. al suministro de información a los interesados 2. cómo los responsables del tratamiento se comunican con los interesados 3. cómo los responsables del tratamiento facilitan que los interesados ejerzan sus derechos. La transparencia debe aplicarse en todos los tratamientos de datos personales, independientemente de la base jurídica y a lo largo de todo el ciclo de vida del mismo: •. antes de comenzar el tratamiento o al inicio del mismo.. •. a lo largo del todo el periodo del tratamiento. •. en momentos específicos mientras el tratamiento está en curso (por ejemplo, cuando se produzcan violaciones de seguridad). La información o comunicación debe cumplir las siguientes normas (Art. 12.1 RGPD): •. 2. debe ser concisa, transparente, inteligible y de fácil acceso.. Grupo de trabajo del artículo 29. Directrices sobre la transparencia TFM. Máster. en. Dirección. TIC. P á g i n a 35 | 120.

(36) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. EJEMPLOS DE COMUNICACIÓN DE FÁCIL ACCESO  Cuando el responsable mantenga un sitio web - Declaraciones/Avisos de privacidad. Visible y accesible fácilmente desde todas las páginas del sitio web (Enlace directo bajo un término de uso común “Privacidad”, “Política de privacidad”…).  En las aplicaciones - La información debe estar disponible en la tienda en línea y debe seguir siendo fácilmente accesible desde dentro de la aplicación. Por ejemplo, una manera de cumplir con este requisito es que no haga falta más de “dos toques” para acceder.. •. debe utilizarse un lenguaje claro y sencillo, en particular cuando va dirigida a niños.. RECOMENDACIONES USO DEL LENGUAJE  Debe evitarse el uso de calificativos del tipo “puede”, “podría”, “algunos”, “frecuentemente”. y. “posible”. que. pueden. dar. lugar. a. distintas. interpretaciones.  Los párrafos y las oraciones deben estar bien estructurados, utilizando viñetas y guiones.  Debe utilizarse la voz activa  No debe contener lenguaje o terminología excesivamente legal, técnica o especializada.  Cuando los bienes/servicios son utilizados particularmente por niños, el responsable debe asegurar que el vocabulario, el tono y el estilo es apropiado para los niños.. TFM. Máster. en. Dirección. TIC. P á g i n a 36 | 120.

(37) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. EJEMPLO DE PRÁCTICA DEFICIENTE “Podremos utilizar sus datos para desarrollar nuevos servicios” No especifica qué servicios ni cómo ayudarán los datos a desarrollarlos EJEMPLO DE BUENAS PRÁCTICAS “Conservaremos su historial de compra y utilizaremos detalles de los productos que ha comprado anteriormente para sugerirles otros productos que creemos que podrían interesarle” En este ejemplo, está claro qué datos se utilizarán y con qué finalidad •. debe facilitarse por escrito o por otros medios, incluso por medios electrónicos. A la hora de elegir el medio para facilitar la información debe tenerse en cuenta cómo interactúan el responsable y el interesado.. MEDIOS PARA FACILITAR LA INFORMACIÓN  Medios electrónicos escritos: - Declaraciones/avisos de privacidad en un sitio web. - Avisos contextuales emergentes - Avisos mediante 3D Touch - Avisos al posar el cursor - Paneles de privacidad  Medios electrónicos no escritos - Vídeos - Alertas de voz para teléfonos inteligentes o dispositivos del IoT.  Otros medios (no necesariamente electrónicos) - Dibujos animados, cómics, pictogramas (especialmente si va dirigido a niños) - Infografías - Diagramas de flujo - Impresos en manuales de instrucciones. TFM. Máster. en. Dirección. TIC. P á g i n a 37 | 120.

(38) El. nuevo. Reglamento. General. enfoque. •. de. Protección. de. Datos:. un. práctico. podrá facilitarse verbalmente cuando lo solicite el interesado, siempre que se demuestre la identidad del interesado por otros medios.. •. La condición de verificar la identidad del interesado no se aplica al suministro de información general sobre privacidad (datos del responsable y del delegado, fines del tratamiento…) ya que ésta debe ponerse a disposición de futuros usuarios/clientes. Sí es necesario verificar la identidad previamente al ejercicio de sus derechos por parte de un interesado específico.. •. El responsable del tratamiento debe disponer del registro de la solicitud de información por medios verbales, el método utilizado para verificar la identidad del interesado y el hecho de que se facilitó la información al interesado.. Además de presencialmente o por teléfono, es posible facilitar la información verbalmente de manera automatizada. Por ejemplo, podemos dar la opción de audio de la información de un aviso de privacidad para personas con alguna discapacidad visual o en el contexto de dispositivos inteligentes sin pantalla. El GT29 recomienda que, el responsable del tratamiento debe permitir que el interesado pueda volver a escuchar los mensajes pregrabados, esto es imprescindible cuando la solicitud de obtener la información verbalmente provenga de interesados con dificultades para acceder o entender la información en formato escrito.. TFM. Máster. en. Dirección. TIC. P á g i n a 38 | 120.

(39) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. Figura 5 Principio de transparencia en el tratamiento de datos personales. 4.5.2 INFORMACIÓN CUANDO LOS DATOS SEAN OBTENIDOS DEL INTERESADO Se consideran datos personales obtenidos directamente del interesado aquellos que 3: •. un interesado ha facilitado directamente a un responsable del tratamiento (por ejemplo, al rellenar un formulario en línea).. •. un responsable del tratamiento obtiene de un interesado mediante observación (por ejemplo, utilizando dispositivos automáticos o programas informáticos de captura de datos, como cámaras, equipos de red, localización por wifi, RFID u otros tipos de sensores.. En este caso, se debe informar a los interesados sobre las circunstancias relativas al tratamiento de sus datos en el momento en que se le soliciten. Si posteriormente se quieren utilizar los datos para un fin diferente a aquel para el que se recogieron, debe informarse al interesado de la nueva finalidad antes de su tratamiento.. 3. Directrices sobre transparencia. GT29 apdo. 26 TFM. Máster. en. Dirección. TIC. P á g i n a 39 | 120.

(40) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. Según el Art. 11.2 de la LOPD-GDD y el art. 13 del RGPD, cuando los datos personales sean obtenidos del interesado, el responsable del tratamiento deberá facilitarle la siguiente información:. Figura 6 Información básica cuando los datos son obtenidos del interesado. Al suministrar la información básica, el responsable deberá facilitar una dirección de correo electrónico u otro medio que permita acceder al resto de información. El resto de información debe ser accesible de forma sencilla e inmediata.. TFM. Máster. en. Dirección. TIC. P á g i n a 40 | 120.

(41) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. Figura 7 Información adicional cuando los datos son obtenidos del interesado. 4.5.3 INFORMACIÓN CUANDO LOS DATOS NO SEAN OBTENIDOS DEL INTERESADO Los datos personales no han sido obtenidos del interesado cuando el responsable los ha obtenido de fuentes como: 4 •. responsables de tratamiento terceros. •. fuentes de acceso público. •. intermediarios de datos. •. otros interesados. 4. Directrices sobre transparencia. GT29 apdo. 26 TFM. Máster. en. Dirección. TIC. P á g i n a 41 | 120.

(42) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. La información relativa al tratamiento de sus datos debe ponerse a disposición de los interesados dentro de un plazo razonable y, a más tardar, dentro de un mes desde el momento en el que se obtuvieron. Es posible que deba informarse con anterioridad por alguna de las siguientes causas: •. si los datos han de utilizarse para comunicarse con el interesado, se debe informar antes o en la primera comunicación con el interesado.. •. si está previsto comunicarlos a otro destinatario, se debe comunicar antes o en la primera comunicación con el interesado.. Al igual que en el caso de que los datos personales hayan sido obtenidos directamente del interesado, si posteriormente se quieren utilizar los datos para un fin diferente a aquel para el que se recogieron, debe informarse al interesado de la nueva finalidad antes de su tratamiento. Según el Art. 11.3 de la LOPDGDD y el art. 13 del RGPD, cuando los datos personales sean obtenidos del interesado, el responsable del tratamiento deberá facilitarle la siguiente información:. TFM. Máster. en. Dirección. TIC. P á g i n a 42 | 120.

(43) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. Figura 8 Información adicional cuando los datos no son obtenidos del interesado. La información adicional que debe facilitar el responsable en este caso es la misma que cuando ha obtenido los datos directamente del interesado (Ver. Figura 7. Información adicional cuando los datos son obtenidos del interesado). 4.5.4 EJERCICIO DE LOS DERECHOS 5 La normativa de protección de datos permite que los interesados puedan ejercitar ante el responsable del tratamiento sus derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y no ser objeto de decisiones individualizadas. Estos derechos se caracterizan por (Art. 12 LOPDGDD):. 5. Protección de datos: Guía para el ciudadano de la AEPD. TFM. Máster. en. Dirección. TIC. P á g i n a 43 | 120.

(44) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. 1. El ejercicio de los derechos es gratuito. 2. El responsable deberá responder a la solicitud en el plazo de un mes a partir de la recepción de la solicitud. (Art. 12.3 RGPD). 3. El plazo de respuesta se podrá prorrogar otros dos meses, teniendo en cuenta la complejidad y el número de solicitudes. El responsable deberá informar al interesado de la prorroga en el plazo de un mes desde la recepción de la solicitud, indicando los motivos (Art. 12.3 RGPD). 4. Si las solicitudes son manifiestamente infundadas o excesivas (carácter repetitivo) el responsable podrá: • Cobrar un canon proporcional a los costes administrativos soportados • Negarse a actuar. Podrá considerarse repetitivo el derecho de acceso en más de una ocasión en el plazo de seis meses, a menos que exista causa legítima para ello (Art. 13.3 LOPDGDD). Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva (Art 13.4 LOPDGDD). 5. Pueden ejercerse directamente o por medio de representante legal o voluntario. 6. El responsable del tratamiento está obligado a informar al interesado sobre los medios que están a su disposición para ejercitar sus derechos. Estos medios deben ser accesibles y no se puede denegar el ejercicio del derecho por el único motivo de que el interesado opte por otro medio. 7. El encargado del tratamiento, por cuenta del responsable, podrá atender las solicitudes siempre que así se haya establecido en el contrato o acto jurídico que les vincula. 8. El responsable debe poder probar que ha respondido a la solicitud de ejercicio de los derechos formulado por el afectado. 9. Los titulares de la patria potestad podrán ejercitar los derechos en nombre y representación de los menores de catorce años.. TFM. Máster. en. Dirección. TIC. P á g i n a 44 | 120.

(45) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. Métodos para facilitar al interesado el ejercicio de sus derechos: 1. Escrito a una dirección postal. 2. Escrito a una dirección de correo electrónico. 3. Envío de formulario electrónico en un sitio web. 4. Funcionalidad que permita la modificación de los datos personales, borrado de todos los datos (eliminación cuenta) en una aplicación . Para el ejercicio de los derechos el responsable debe verificar la identidad del usuario: 1. Solicitando fotocopia del documento de identidad adjunta en el correo electrónico. 2. Autenticación mediante usuario y contraseña para acceder a un sistema informático. 3. Autenticación mediante PIN. 4. Validación de datos asociados a una operación (por ej. Nombre completo, DNI y teléfono asociado a un contrato) 5. Autenticación. mediante. rasgos. físicos. (huellas. dactilares,. reconocimiento facial…). 6. Autenticación por SMS (envío de SMS con un código al móvil).. 4.5.5 DERECHO DE ACCESO Este derecho permite al interesado dirigirse al responsable del tratamiento para conocer si se están tratando o no sus datos personales y, en el caso de que se estén realizando el tratamiento (Art. 12 LOPDGDD y Art. 15 RGPD): •. Obtener copia de los datos personales que se están tratando. Cuando el responsable trate una gran cantidad de datos relativos al afectado, el responsable podrá solicitar al afectado, antes de facilitar la información, que especifique los datos o actividades de tratamiento a los que se refiere la solicitud.. •. Los fines del tratamiento. TFM. Máster. en. Dirección. TIC. P á g i n a 45 | 120.

(46) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. •. Las categorías de datos personales de que se trate.. •. Los destinatarios o categorías de destinatarios a los que se comunicaron o comunicarán los datos personales, en particular destinatarios en terceros países u organizaciones internacionales.. •. De ser posible, el plazo previsto de conservación de los datos personales o, si no es posible, los criterios utilizados para determinar este plazo.. •. La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado u oponerse a dicho tratamiento.. •. El derecho a presentar una reclamación ante una autoridad de control.. •. Cuando los datos no se hayan obtenido del interesado, cualquier información disponible sobre su origen.. •. La existencia de decisiones automatizadas, incluidas la elaboración de perfiles, y al menos, en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.. •. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativa a la transferencia realizada.. Los responsables podrán atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. En estos casos, la comunicación por el responsable al afectado del modo en que puede acceder a dicho sistema bastará para dar por atendida la solicitud. El interesado podrá solicitar el resto de información relativa al tratamiento de sus datos personales que no se incluya en el sistema remoto. 4.5.6 DERECHO DE RECTIFICACIÓN Derecho del afectado a que se modifiquen los datos, sin dilación indebida del responsable del tratamiento, que resulten ser inexactos o incompletos (Art. 14 LOPDGDD y Art. 16 RGPD). TFM. Máster. en. Dirección. TIC. P á g i n a 46 | 120.

(47) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. En la solicitud el interesado deberá indicar los datos a los que se refiere y la corrección que haya que realizar, debiendo adjuntar, cuando sea necesario, la documentación justificativa de la inexactitud o carácter incompleto de los datos. 4.5.7 DERECHO DE SUPRESIÓN Derecho del afectado a que se supriman los datos personales que le conciernan (de aquí surge el llamado “derecho al olvido“). El responsable está obligado a suprimir los datos sin dilación indebida cuando se de alguna de las siguientes circunstancias (Art. 15 LOPDGDD y Art.17 RGPD): •. Si los datos personales ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo.. •. Si el tratamiento de los datos está basado en el consentimiento y se retira, siempre que el tratamiento no se base en otro fundamento jurídico.. •. Si el usuario se ha opuesto al tratamiento de sus datos en las siguientes circunstancias: o. El tratamiento se basaba en un interés legítimo o en el cumplimiento de una misión de interés público y no han prevalecido otros motivos para legitimar el tratamiento.. o. El tratamiento tenía por objeto la mercadotecnia directa. En este caso el responsable podrá conservar los datos identificativos del interesado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.. •. Si los datos personales han sido tratados ilícitamente.. •. Si los datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.. •. Si los datos personales se han obtenido en relación con la oferta directa de servicios de la sociedad de la información a niños. 4.5.8 DERECHO A LA LIMITACIÓN DEL TRATAMIENTO Limitar el tratamiento supone que, si el interesado quiere borrar sus datos personales pero algún motivo legal lo impide, éste puede solicitar la limitación. TFM. Máster. en. Dirección. TIC. P á g i n a 47 | 120.

(48) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. del tratamiento de sus datos al responsable. De esta forma, los datos pueden ser conservados, pero no utilizado para otros fines. Este derecho podrá ejercerse cuando se de alguna de las siguientes circunstancias (Art. 16 LOPDGDD y Art. 18 RGPD): •. Cuando el interesado impugne la exactitud de los datos, durante un plazo que permita al responsable verificar la exactitud de los datos.. •. Cuando el tratamiento es ilícito pero el interesado se oponga a la supresión.. •. Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.. •. Cuando el interesado se haya opuesto al tratamiento de sus datos personales que el responsable realiza en base a un interés legítimo o misión de interés público, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.. Ejemplo: El interesado decide cambiar de banco y solicita al “antiguo” banco que cierre todas sus cuentas y borre todos los datos personales. Sin embargo, el “antiguo” banco está sujeto a una ley que obliga a conservar todos los datos de sus clientes durante diez años. En este caso, el interesado puede solicitar una limitación del tratamiento para asegurarse que sus datos se utilicen para fines no deseados. https://ec.europa.eu. Derecho de los ciudadanos.. 4.5.9 DERECHO A LA PORTABILIDAD El interesado tendrá derecho a que el Responsable transmita sus datos a otro responsable del tratamiento o al mismo interesado, mediante un formato estructurado de uso habitual y lectura mecánica (por ejemplo, fichero Excel o csv. No está permitido el formato PDF o imágenes que no pueden ser. TFM. Máster. en. Dirección. TIC. P á g i n a 48 | 120.

(49) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. tratadas), cuando el tratamiento se efectúe por medios automatizados y se base en: •. El consentimiento del interesado para fines específicos.. •. La ejecución de un contrato o precontrato con el interesado.. El derecho a la portabilidad de datos no se aplicará cuando: •. Sea técnicamente imposible la transmisión, por ejemplo, cuando el tratamiento no se efectúe por medios automatizados.. •. Pueda afectar negativamente a los derechos y libertades de terceros.. •. El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.. 4.5.10 DERECHO DE OPOSICIÓN Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que: •. Sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles. El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.. •. Cuando el tratamiento tenga por finalidad la mercadotecnia, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.. •. Cuando el interesado se oponga al tratamiento de fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.. TFM. Máster. en. Dirección. TIC. P á g i n a 49 | 120.

(50) El. nuevo. Reglamento. General. enfoque. de. Protección. de. Datos:. un. práctico. Figura 9 Derechos de las personas. 4.6. RESPONSABLE DEL TRATAMIENTO. El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios de tratamiento. Una de las principales novedades que presenta el RGPD respecto a la anterior normativa, son las medidas de seguridad que deben aplicarse para garantizar que el tratamiento de los datos se realizará de manera que garantice la protección de la persona física. Si la anterior legislación establecía tres niveles de seguridad (básico, medio y alto) atendiendo al tipo de datos tratados, el RGPD introduce dos principios generales que recaen sobre los responsables del tratamiento: •. El principio de responsabilidad proactiva. El RGPD define este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.. •. El enfoque de riesgo. El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el. TFM. Máster. en. Dirección. TIC. P á g i n a 50 | 120.

(51) GUÍA. DE. REFERENCIA. E. IMPLEMENTACIÓN. contexto, el ámbito y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas.. Figura 10 De los niveles de seguridad al principio de responsabilidad proactiva. Las obligaciones del responsable del tratamiento son: 1. Establecer las bases de legitimización para el tratamiento de los datos.  Documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones (Art. 6 del RGPD): 1. Consentimiento del interesado 2. Ejecución de un contrato 3. Para proteger intereses vitales del interesado o de otra persona física 4. Cumplimiento de una obligación legal para el responsable 5. Interés público o ejercicio de poderes públicos 6. Intereses legítimos del responsable o de terceros, siempre que no prevalezcan. los. intereses. o. los. derechos. y. libertades. fundamentales del interesado.  Obtener el consentimiento del interesado de formar inequívoca y explícita.. TFM. Máster. en. Dirección. TIC. P á g i n a 51 | 120.

Referencias

Descargar ahora ( PDF - 120 página - 2.66 MB )

Outline

ANÁLISIS DE RIESGOS EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS CONCLUSIONES

Documento similar

Alumnado y grupos de Educación de Personas Adultas por curso, modelo lingüístico y red. Datos de matrícula para el curso 2016-2017.

[r]

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

EL CEDULARIO DE LA NUEVA GALICIA EN EL DERECHO INDIANO *

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

EL JARDÍN DE LOS BORGIA

No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

guía rápida

The part I assessment is coordinated involving all MSCs and led by the RMS who prepares a draft assessment report, sends the request for information (RFI) with considerations,